在使用VERACODE时,在 Android 应用程序中使用 java.util.Random.nextInt 时熵不足。在我的应用程序源代码中没有使用Random.nextInt,它用于谷歌分析(com.google.android.gms.analytics)
攻击向量: java.util.Random.nextInt
描述:标准随机数生成器在用于安全目的时不能提供足够的熵。攻击者可以暴力破解伪随机数生成器的数量,例如 rand()。
问问题
2667 次
1 回答
0
听起来您正在使用商业工具来检查潜在的安全漏洞。
GoogleAnalytics 是封闭源代码,因此很难确定它是如何使用Random. 因此,很难知道这是否重要,或者是否有解决方法。
但是,您获得的报告非常不具体。是的,如果 GoogleAnalytics 功能需要良好的“随机性”来源,那么 Random 是一个糟糕的选择。但我们不知道情况是否如此。它可能只是使用随机数生成器来选择与之对话的谷歌分析服务器......用于负载平衡。
如果这对您来说是一个真正的担忧:
请联系 Veracode 制造商以澄清报告的含义。他们可能会告诉你这是一场虚惊。
联系 Google 并询问他们是否存在真正的漏洞。
于 2016-04-19T13:13:48.060 回答